Serangan rantai pasokan yang menargetkan paket lokalisasi Laravel Lang telah memaparkan pengembang pada kampanye malware pencuri kredensial yang canggih setelah penyerang menyalahgunakan tag versi GitHub untuk mendistribusikan kode berbahaya melalui paket Composer.
Perusahaan keamanan Langkah Keamanan, Keamanan AikidoDan Stopkontak memperingatkan tentang kompromi pada hari Jumat, memperingatkan bahwa penyerang telah menulis ulang tag GitHub di empat repositori yang dikelola oleh organisasi Laravel Lang daripada menerbitkan versi berbahaya yang sepenuhnya baru.
Paket yang terpengaruh termasuk laravel-lang/lang, laravel-lang/http-statuses, laravel-lang/attributes, dan mungkin laravel-lang/actions. Paket Laravel Lang adalah paket lokalisasi pihak ketiga dan bukan bagian dari proyek resmi Laravel.
Menurut Aikido, para penyerang mengkompromikan 233 versi di tiga repositori, sementara Socket mengatakan sekitar 700 versi historis mungkin terkena dampaknya.
Apa yang membuat serangan ini menonjol adalah kode sumber proyek sebenarnya tidak dimodifikasi untuk menyertakan kode berbahaya, namun penyerang menyalahgunakan fitur GitHub yang memungkinkan tag menunjuk ke komitmen di fork repositori yang sama.
“Daripada memublikasikan versi berbahaya baru, penyerang menulis ulang setiap tag git yang ada di setiap repositori untuk menunjuk pada komitmen jahat baru,” jelas StepSecurity.
“Penulisan ulang dimulai pada 22:32 UTC terhadap laravel-lang/lang (paket terjemahan utama Laravel, dengan 502 tag) dan selesai pada 00:00 UTC terhadap laravel-lang/actions. Keempat repositori berbagi identitas penulis palsu yang sama, file yang dimodifikasi, dan perilaku payload yang sama, yang membuatnya hampir pasti merupakan karya satu aktor yang menggunakan satu kredensial yang dikompromikan dengan akses push luas organisasi.”
Hal ini memungkinkan penyerang untuk mempublikasikan apa yang tampak sebagai tag rilis yang sah untuk proyek tersebut, yang sebenarnya menyebabkan komitmen jahat disimpan dalam cabang repositori yang dikendalikan oleh penyerang.
Ketika pengembang menginstal paket melalui Komposer, ia akan mengunduh kode berbahaya sementara paket tersebut tampaknya menginstal rilis Laravel Lang yang sah.
Mengeksekusi pencuri kredensial
Para peneliti menemukan bahwa rilis berbahaya memperkenalkan file berbahaya bernama ‘src/helpers.php’, yang secara otomatis dimuat oleh Komposer.
Kode yang disuntikkan bertindak sebagai dropper yang mengunduh payload kedua dari server komando dan kontrol penyerang di flipboxstudio[.]info.
Payload PHP yang diunduh[[Total Virus]adalah pencuri kredensial lintas platform besar untuk Linux, macOS, dan Windows yang mengambil kredensial cloud, rahasia Kubernetes, token Vault, kredensial Git, rahasia CI/CD, kunci SSH, data browser, dompet mata uang kripto, pengelola kata sandi, konfigurasi VPN, dan file konfigurasi `.env` lokal.
Malware ini juga berisi pola ekspresi reguler yang digunakan untuk mengekstrak kunci AWS, token GitHub, token Slack, rahasia Stripe, kredensial basis data, JWT, kunci pribadi SSH, dan frasa pemulihan mata uang kripto dari file dan variabel lingkungan.
Sumber: BleepingComputer
Pada sistem Windows, payload PHP juga mengekstrak file executable berkode base64[[Total Virus]tertanam di dalam file, yang ditulis ke folder %TEMP% sebagai nama file .exe acak, dan kemudian diluncurkan.
Analisis BleepingComputer terhadap infostealer Windows menunjukkan bahwa ia diberi nama ‘DebugElevator’ dan dirancang untuk menargetkan Chrome, Brave, dan Edge, serta mengekstrak kunci Enkripsi Terikat Aplikasi yang diperlukan untuk mendekripsi kredensial browser yang disimpan.
Sumber: BleepingComputer
Jalur PDB yang tertanam juga merujuk pada nama akun Windows ‘Mero’ dan berisi ‘claude’, yang berpotensi menunjukkan bahwa AI digunakan untuk membantu mengembangkan malware Windows.
C:UsersMeroOneDriveDesktopstuffclaudeChromium-DebugElevatorx64ReleaseDebugChromium.pdb
Para peneliti mengatakan bahwa setelah data sensitif diekstraksi, malware mengenkripsinya dan mengirimkannya kembali ke server C2.
Aikido mengatakan mereka melaporkan kejadian tersebut ke Packagist, yang merespons dengan cepat dengan menghapus versi berbahaya dan untuk sementara membatalkan daftar paket yang terpengaruh untuk mencegah instalasi tambahan.
Pengembang yang menggunakan paket Laravel Lang disarankan untuk meninjau versi paket yang diinstal, merotasi kredensial yang terbuka, memeriksa sistem untuk mencari indikator kompromi, dan, jika memungkinkan, memeriksa riwayat koneksi keluar ke flipboxstudio[.]info.
Kesenjangan Validasi: Pentesting Otomatis Menjawab Satu Pertanyaan. Anda Membutuhkan Enam.
Alat pentesting otomatis memberikan nilai nyata, namun alat tersebut dibuat untuk menjawab satu pertanyaan: dapatkah penyerang bergerak melalui jaringan? Mereka tidak dibuat untuk menguji apakah kontrol Anda memblokir ancaman, aturan deteksi Anda diaktifkan, atau konfigurasi cloud Anda dipertahankan.
Panduan ini mencakup 6 permukaan yang sebenarnya perlu Anda validasi.
